10 октября 2009

Как уничтожить зловреда Win32.Sector.17?

Категория: Наука и технологии

Как уничтожить зловреда Win32.Sector.17?

Вячеслав Качалкин

«Вы не могли бы посмотреть компьютер? Там, кажется, вирус...» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус – очень неприятный Win32.Sector.17.

Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.

Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.

При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:

«kaspersky», «eset.com», «f-secure», «mcafee» , «symantec», «etrust.com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit».

То есть он не дает возможности обновить антивирус и не дает себя уничтожить.

Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.

Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».

Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.

Значит, остается одно – лечить.

Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr.Web live-CD.

Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr.Web live-CD советую использовать.

В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr.Web 5.

Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.

Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.

В этом прекрасно помогает утилита rrtri.exe.

С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr.
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools»=dword:00000001.

Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot

Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/имя пользователя/914

Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела Управления Образованием...

P.S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 – специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri.exe все функции системы были восстановлены.

Удачного вам избавления!

Источник


Скачать можно здесь:
Dr.Web live-CD
rrtri.exe


Вернуться назад »
  • Просмотров: 2954



Комментарии